بدافزار Tickler
یک بازیگر تهدیدکننده تحت حمایت دولت ایران از یک درب پشتی سفارشی جدید توسعه یافته در حملاتی که سازمانهایی را در ایالات متحده و امارات متحده عربی هدف قرار میدهند، استفاده کرده است. گروه هک APT33 که با نامهای Peach Sandstorm و Refined Kitten نیز شناخته میشود، بدافزار ناشناخته قبلی را که اکنون با نام Tickler دنبال میشود، برای به خطر انداختن شبکههای سازمانها در بخشهای دولتی، دفاعی، ماهوارهای، نفت و گاز مستقر کرده است. به گفته محققان، این گروه که زیر نظر سپاه پاسداران انقلاب اسلامی ایران فعالیت میکند، از این بدافزار در یک کمپین جمعآوری اطلاعات بین آوریل تا جولای 2024 استفاده کرده است. در طول این حملات، هکرها از زیرساختهای Microsoft Azure برای فرماندهی و کنترل استفاده کردند. عملیات کنترل (C2) با تکیه بر اشتراک های جعلی Azure که از آن زمان توسط شرکت مختل شده است.
فهرست مطالب
بخش های حیاتی هدف عملیات حمله
بین آوریل و می 2024، APT33 سازمانهایی را در بخشهای دفاعی، فضایی، آموزشی و دولتی از طریق حملات اسپری رمز عبور موفق هدف قرار داد. این حملات شامل تلاش برای دسترسی به چندین حساب با استفاده از مجموعه محدودی از رمزهای عبور رایج برای جلوگیری از ایجاد قفل حساب بود.
اگرچه فعالیت اسپری رمز عبور در بخشهای مختلف مشاهده شد، محققان خاطرنشان کردند که Peach Sandstorm به طور خاص از حسابهای کاربری آسیبدیده در بخش آموزش برای ایجاد زیرساخت عملیاتی آنها استفاده میکند. عوامل تهدید یا به اشتراکهای موجود Azure دسترسی پیدا کردند یا اشتراکهای جدیدی را با استفاده از حسابهای در معرض خطر برای میزبانی زیرساخت خود ایجاد کردند. این زیرساخت لاجوردی سپس در عملیاتهای بعدی که بخشهای دولتی، دفاعی و فضایی را هدف قرار میدهند، مورد استفاده قرار گرفت.
طی سال گذشته، Peach Sandstorm با استفاده از ابزارهای سفارشی توسعه یافته، با موفقیت به چندین سازمان در این بخش ها نفوذ کرده است.
بدافزار Tickler صحنه را برای تهدیدات بدافزار اضافی آماده میکند
Tickler به عنوان یک درب پشتی سفارشی و چند مرحلهای شناخته میشود که به مهاجمان اجازه میدهد بدافزارهای اضافی را روی سیستمهای در معرض خطر نصب کنند. به گفته مایکروسافت، بارهای مخرب مرتبط با Tickler میتوانند اطلاعات سیستم را جمعآوری کنند، دستورات را اجرا کنند، فایلها را حذف کنند، و فایلها را به و از سرور Command and Control (C&C) دانلود یا آپلود کنند.
کمپین های قبلی جرایم سایبری APT33
در نوامبر 2023، گروه تهدید ایرانی از تاکتیک مشابهی برای نفوذ به شبکههای پیمانکاران دفاعی در سطح جهانی استفاده کرد و بدافزار در پشتی FalseFont را به کار گرفت. چند ماه قبل، محققان هشداری درباره کمپین APT33 دیگری صادر کرده بودند که از فوریه 2023 هزاران سازمان را در سراسر جهان از طریق حملات گسترده اسپری رمز عبور هدف قرار داده بود که منجر به نقض در بخش های دفاعی، ماهواره ای و دارویی شد.
برای افزایش امنیت در برابر فیشینگ و سرقت حساب، مایکروسافت اعلام کرد که از 15 اکتبر، احراز هویت چند عاملی (MFA) برای همه تلاشهای ورود به سیستم Azure اجباری خواهد شد.
بدافزار Backdoor ممکن است منجر به عواقب شدید برای قربانیان شود
بدافزار Backdoor با ارائه دسترسی غیرمجاز به سیستمهای در معرض خطر، خطرات قابل توجهی را هم برای کاربران و هم برای سازمانها ایجاد میکند. پس از نصب، بدافزار backdoor نقاط ورودی مخفی ایجاد می کند که به مهاجمان اجازه می دهد اقدامات امنیتی سنتی را دور بزنند و کنترل شبکه قربانی را به دست آورند. این دسترسی بالا می تواند منجر به طیف وسیعی از عواقب شدید شود.
اولاً، بدافزار backdoor مهاجمان را قادر میسازد تا اطلاعات حساس از جمله دادههای شخصی، سوابق مالی و مالکیت معنوی را جمعآوری کنند. این داده های جمع آوری شده می تواند برای سرقت هویت، کلاهبرداری مالی یا جاسوسی شرکتی استفاده شود. علاوه بر این، بدافزار میتواند با فعال کردن نصب نرمافزارهای مخرب اضافی، از جمله باجافزار، که میتواند فایلهای مهم را رمزگذاری کرده و برای انتشار آنها باج بگیرد، حملات بیشتر را تسهیل کند.
ثانیاً، بدافزار backdoor میتواند یکپارچگی سیستم را به خطر بیندازد و عملیات را مختل کند. مهاجمان میتوانند فایلهای مهم را دستکاری یا حذف کنند، پیکربندیهای سیستم را دستکاری کرده و ابزارهای امنیتی را غیرفعال کنند که منجر به خرابی عملیات و ضررهای مالی قابل توجهی میشود. این اختلال میتواند به ویژه برای بخشهای زیرساختی حیاتی، مانند مراقبتهای بهداشتی، مالی و انرژی، که در آنها قطعی سیستم میتواند بر امنیت و خدمات عمومی تأثیر بگذارد، مضر باشد.
علاوه بر این، بدافزارهای پشتی اغلب نظارت و جاسوسی پنهان را تسهیل می کنند. مهاجمان میتوانند فعالیتهای کاربر را نظارت کنند، ضربههای کلید را ضبط کنند و به فیدهای وبکم بدون اطلاع قربانی دسترسی داشته باشند که منجر به نقض حریم خصوصی و اطلاعات محرمانه میشود.
به طور خلاصه، یک بدافزار backdoor با تضعیف امنیت داده ها، یکپارچگی عملیاتی و حریم خصوصی، خطرات جدی ایجاد می کند. توانایی آن در ارائه دسترسی مداوم و غیرمجاز آن را به یک تهدید قوی تبدیل می کند که برای کاهش تأثیر آن به اقدامات امنیتی قوی و نظارت دقیق نیاز دارد.